Ключи безопасности к онлайн-шифрованию становятся все более уязвимыми
Выводы исследователей изложены в статье для криптографической конференции, которая пройдет в августе 2012 года.
В ходе исследования авторы изучили 7,1 млн. общедоступных RSA-ключей длиной 1024 бит – такие ключи обычно считаются очень надежными. В частности, они проанализировали так называемые «модули», или абсолютные значения ключей, с использование алгоритма Евклида — греческого математика, жившего более 2000 лет назад. В итоге удалось обнаружить, что почти 27 000 ключей из семи с лишним миллионов оказались бесполезными с точки зрения шифрования, поскольку один из коэффициентов, примененных для генерации одного ключа, был использован для одного или более других ключей.
Вслед за публикацией работы Алестры и его коллег появилась еще одна работа с аналогичными выводами, только написанная молодыми американскими учеными. Ее авторы призывают не паниковать – из всех «слабых» ключей доверительную подпись имеет лишь один, а остальные не считаются доверенными с точки зрения популярных браузеров. Как бы то ни было, это ожидаемое событие, которое рано или поздно должно было наступить в силу чисто математических ограничений.
Когда в 70-х годах прошлого века исследователи Райвест, Шамир и Адлеман из МТИ, именами которых назван алгоритм RSA, создали свою методику шифрования с парой из открытого и закрытого ключа, они были уверены, что в ближайшем будущем число ключей останется сравнительно небольшим. Чем больше выпускается RSA-ключей, тем больше вероятность, что для генерации ключа будут применяться числа, уже использованные для другого. Вообще, работоспособность шифра RSA построена на том, что для генерации открытого ключа используется модуль произведения двух очень больших простых чисел. В результате ключей становится все больше, а неиспользованных простых чисел остается все меньше.
Авторы опасного, хотя и ожидаемого открытия не приводят в своей статье конкретные способы подбора ключей по совпадающим коэффициентам генерации. Кроме того, не приводится никаких данных о конкретных скомпрометированных ключах и об их держателях. Тем не менее, вне рамок статьи авторы утверждают, что нашли действующий алгоритм для определения таких ключей без сравнения каждого из них со всеми остальными.
Хорошие новости заключаются в том, что ни один из найденных «слабых» ключей не используется центрами выдачи сертификатов для подписывания SSL-сертификатах на коммерческих веб-сайтах. Если бы такого рода ключ был замечен в «слабости», все подписанные им сертификаты можно было бы подделать. Даже по выводам группы Алестры найденная уязвимость наносит вред только двум субъектам шифрованного канала, не оказывая массового влияния на всех пользователей SSL-каналов. В заключении авторы отмечают, что доверие к генераторам случайных чисел сохраняется, а вот алгоритм RSA уже нельзя считать таким надежным, как ранее считалось.
По материалам сайтов NetworkWorld, NY Times и Ars Technica.